🧠 Lo que debes saber esta semana: vulnerabilidad crítica en Triofox, RAT en Android y paquete falso en npm
Resumen del día
Tres incidentes recientes revelan cómo los atacantes están diversificando sus tácticas en 2025: una vulnerabilidad crítica en Triofox, un troyano Android vendido por Telegram y un paquete falso en npm que comprometió miles de builds.
Todos distintos, pero con un mismo objetivo: infiltrarse en la cadena digital.
Así se ve hoy el nuevo rostro del cibercrimen.
🧠 “Cluster Admin”: la puerta trasera silenciosa que está poniendo en riesgo a empresas que usan Triofox
Imagina que un atacante puede entrar a tu servidor sin contraseñas, crear su propio usuario con permisos de administrador y, desde ahí, instalar herramientas de control remoto sin que nadie lo note. Suena a una historia vieja… pero está ocurriendo ahora mismo con Triofox.🔥 La vulnerabilidad en juegoDesde agosto de 2025, un grupo de amenazas conocido como UNC6485 está explotando una vulnerabilidad crítica identificada como CVE-2025-12480 en Triofox, con un puntaje de 9.1 en CVSS (riesgo crítico).
El fallo permite acceso no autenticado a las páginas de configuración del sistema simplemente manipulando un encabezado HTTP llamado Host. Con ese pequeño truco, los atacantes saltan el proceso de autenticación y aprovechan la configuración inicial para crear una cuenta...
¿Y si un atacante, sin saber programar, pudiera comprar un “kit” que convierte cualquier Android en una puerta trasera completa? Eso ya no es teoría: se llama Fantasy Hub y se vende como servicio en canales de Telegram.¿Qué es Fantasy Hub y cómo funciona?Fantasy Hub es un troyano de acceso remoto (RAT) para Android distribuido como Malware-as-a-Service (MaaS) en canales rusoparlantes de Telegram. En vez de ser una herramienta exclusiva de desarrolladores de malware, se ofrece por suscripción y viene con paneles y bots que automatizan su despliegue, por lo que incluso atacantes con poca experiencia técnica pueden ejecutar campañas a gran escala.Las capacidades más peligrosas que incorpora son:
Interceptación y lectura de SMS (incluyendo códigos 2FA si el troyano se...
A veces, basta con una sola letra mal escrita para abrirle la puerta a un hacker.
Eso fue justo lo que pasó con un paquete malicioso en npm que imitaba a uno de los módulos más usados por desarrolladores en GitHub Actions.
Y sí, miles de proyectos lo descargaron sin darse cuenta.🧩 El caso: un ataque de typosquatting en npmInvestigadores de seguridad descubrieron un paquete llamado “@acitons/artifact” (sí, con la “t” y la “i” invertidas).
A simple vista, parece el legítimo “@actions/artifact”, usado en miles de flujos de trabajo de CI/CD en GitHub.
Pero este impostor fue malicioso desde el inicio: fue publicado el 29 de octubre de 2025 y alcanzó más de 47,000 descargas antes de ser eliminado.🧠 Cómo funcionaba el ataqueEl paquete estaba diseñado para...
